CVE-2026-10130 in QueryWeaverthông tin

Tóm tắt

Bởi VulDB • 19/07/2026

QueryWeaver chứa một lỗ hổng bỏ qua xác thực (authentication bypass), cho phép các kẻ tấn công chưa được xác thực lấy mã thông báo phiên hợp lệ cho các tài khoản hiện có bằng cách gửi yêu cầu đăng ký với địa chỉ email của nạn nhân đã biết. Tuyến đường signup tạo và liên kết không điều kiện một mã thông báo mới với Identity phù hợp thông qua thao tác Cypher MERGE trước khi kiểm tra xem email đó có thuộc về một tài khoản hiện tại hay không, khiến máy chủ trả về một mã thông báo phiên xác thực hợp lệ cho danh tính của nạn nhân mà không yêu cầu bất kỳ thông tin đăng nhập nào hoặc tương tác từ người dùng.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

29/05/2026

Tiết lộ

19/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

trung bình

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!